ГОСТ Р ИСО/МЭК 10166-1-2001
dfr-configuration-request
bind-security
priority
dor-for-produce-operations
dor-for-consume-operations
protocol-version
dTAM-manipulation-capabilities
dTAM-protocol-version
dfr-profile-selection
application-requirements
[3] BOOLEAN DEFAULT FALSE,
[4] BindSecurity OPTIONAL,
[5] Priority DEFAULT medium,
[6] BOOLEAN DEFAULT TRUE,
[7] BOOLEAN DEFAULT TRUE,
[8] INTEGER {
version-1 (1),
version-2 (2)} DEFAULT {1},
[9] SEQUENCE OF
BilateralInformationEntry OPTIONAL,
[10] ManipulationCapabilities OPTIONAL,
[11] BITSTRING {version-1 (0)} DEFAULT {0}},
[12] OBJECT IDENTIFIER OPTIONAL,
[13] ApplicationRequirement OPTIONAL}
а) initiator-name (0) — этот аргумент содержит отличающее имя инициатора ассоциации и предоставляется пользователем СПД.
б) credentials (0) — полномочия также могут быть переданы между пользователем СПД и сервером СПД. Представляет или нет пользователь СПД конкретного конечного пользователя, не интересует сервер СПД. С точки зрения сервера СПД идентичность запрашивающего доступ субъекта и привилегии доступа получаются из переданных полномочий. Полномочия служат для идентификации и аутентификации пользователя или для подтверждения идентичности пользователя, аутентифицированного ранее внешним образом. В последнем случае, также могут быть переданы привилегии управления доступом, связанные с пользователем. Полный синтаксис и семантика полномочий для целей аутентификации находятся вне области применения настоящего стандарта (это — общие вопросы для всех операций связывания). Использование подтверждающих атрибутов безопасности описано кратко ниже. Однако семантические подробности остаются неопределенными, так как зависят от фактически объявленной политики безопасности и реализуются организацией, эксплуатирующей приложение СПД.
Аутентификация пользователя может осуществляться внешним для сервера СПД образом; получившиеся в результате атрибуты управления доступом должны быть в дальнейшем переданы в операции связывания для того, чтобы позволить серверу СПД принять последующие решения по управлению доступом. Это — функция конструкции САП. Либо пользователь, либо сервер СПД могут оборвать операцию связывания, если параметры аутентификации не допускают успешного завершения этой операции.
Полномочия, переданные в операции связывания, могут быть изменены параметром Privileges конкретной абстрактной операции СПД (см. 8.1.3.5).
Credentials : : = CHOCE { simple [0] Creds,
- - используется для начальной аутентификации - -certified [1] PrivilegeAttributeCertificate}
- - используется, когда начальная аутентификация - -
- - уже была осуществлена внешним для сервера СПД образом - -
Creds содержит паспорт, связанный с пользователем СПД:
Creds : : = OCTET STRING
PrivilegeAttributeCertificate содержит связанные с пользователем СПД атрибуты, такие как имя пользователя, название работы или степень безопасности. Они могут быть использованы при принятии решений об управлении доступом (см. 6.3.8).
PrivilegeAttributeCertificate : : = EXTERNAL
Примечание — Подробный синтаксис PrivilegeAttributeCertificate в настоящее время находится в стадии исследования. Права доступа, необходимые для установления связи, могут, при некоторой политике безопасности, отличаться от установленных для самой связи; возможность использования двух САП: одного для установления связи, второго — для применения при доступе к объектам СПД в контексте связи, также изучается в настоящее время.
18